Monitorando Host através de comportamento via OSSEC

Por


Introdução

OSSEC é um sistema livre, de código aberto baseado em host de detecção de intrusão (HIDS). Realiza a análise de log, checagem de integridade, monitoramento do registro do Windows, detecção de rootkit, alerta baseado em tempo, e a resposta ativa. Ele fornece detecção de intrusão para a maioria dos sistemas operacionais, incluindo Linux, OpenBSD, FreeBSD, Mac OS X, Solaris e Windows. OSSEC tem uma arquitetura multi-plataforma centralizada permitindo que vários sistemas que podem ser facilmente monitorados e gerenciados.


O HIDS agregam uma série de vantagens por exemplo, podem impedir que ataques resultem em danos. Se um arquivo malicioso tentar reescrever um arquivo, o HID pode limitar seus privilégios e colocá-lo em quarentena. Os HIDs podem proteger notebooks ao serem retirados de uma rede e levados para o campo. Em última análise, os HIDs são uma ferramenta de "última linha de defesa", utilizada para repelir os ataques não detectados pelo NID.

Instalação


Faça o Download da VM no site oficial




wget http://www.ossec.net/files/ossec-virtual-appliance.tar.gz


Após o download finalizado descomprima a pasta:




tar -zxvf ossec_virtual_appliance.tar.gz
Acesse e verifique se os arquivos estão dentro da pasta abaixo:




cd ossec_virtual_appliance/


Execute o procedimento de importação padrão de VM para o hypervisor utilizado no local de implantação.


Inicie a VM


Login e Senha padrão para a utilização:




Login: USER / ROOT / OSSEC Web UI e phpMyAdmin
Senha: _0ssec_


Acesse o servidor como Root e altere a placa de rede para as configurações da rede interna.


Verifique se a plataforma web está funcional, acesse pelo browser o caminho abaixo:




http://ip_do_servidor/ossec-wui/


Login: user
Senha: _0ssec_


Ao conseguir acessar a plataforma web teremos a confirmação que o Servidor foi instalado corretamente.



Instalação do Agente HIDS em Linux


apt-get -y install build-essentials

cd /usr/src
wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz


Descompacte o arquivo após o download finalizado:


tar -xzvf ossec-hids-2.7.tar.gz

cd ./ossec-hids-2.7


Execute a instalação:


/bin/bash ./install.sh


Escolha o idioma:


br
Informações do sistema serão mostradas em tela, confirme com o “Enter”.



Selecione o tipo de instalação:


Agente ou Cliente
Escolha o diretório da instalação e confirme com o “Enter”:


/var/ossec
Configure o IP do servidor do OSSEC:


IP do Servidor
Confirme a opção de avaliação de Integridade:


y
Confirme a opção de Detecção de Rootkit:


y
Confirme a opção de Resposta Ativa(Active-Response)


y
Aguarde a instalação terminar e reinicie o agente:


/var/ossec/bin/ossec-control stop


/var/ossec/bin/ossec-control start
Acesse o controle para a importação da chave:


/var/ossec/bin/manage_agents
Selecione a opção de Importar:


I



Acesse o servidor, abra um terminal e execute os comandos abaixo como root:


/var/ossec/bin/manage_agents


Adicione o agente:




A


Insira o IP do Servidor do agente instalado:




IP_do_Agente


Selecione um ID para o agente remoto: (O software irá indicar o próximo ID disponível, caso o administrador exclua um agente o ID de referência ficará inutilizado.



Extraia a chave para o Agente adicionado:




E


Aparecerá a lista de agentes, selecione o ID e copie a saída da chave.




No Servidor Linux que o agente foi instalado


Cole a chave copiada do servidor, será solicitada a confirmação das informações como abaixo:




### Informação do Agente
### ID:
### Nome:
### Endereço de IP:


Confirme a adição do agente:




y


Reinicie os agentes do servidor e do cliente com o comando abaixo como “root”.




/var/ossec/bin/ossec-control stop


/var/ossec/bin/ossec-control start
Instalação do Agente HIDS em Windows



Faça o Download do arquivo abaixo no Windows a ser monitorado:




http://www.ossec.net/files/ossec-agent-win32-2.7.1.exe
Execute o arquivo como administrador;
Aceite a licença;
Confirme todos os componentes;
Confirme o caminho da instalação;
Ao finalizar selecione a opção executar o agente.


Acesse o servidor, abra um terminal e execute os comandos abaixo como root:




/var/ossec/bin/manage_agents


Adicione o agente:




A


Insira o IP do Servidor do agente instalado:




IP_do_Agente


Selecione um ID para o agente remoto: (O software irá indicar o próximo ID disponível, caso o administrador exclua um agente o ID de referência ficará inutilizado.



Extraia a chave para o Agente adicionado:




E


Aparecerá a lista de agentes, selecione o ID e copie a saída da chave.




No Servidor Windows que o agente foi instalado


Insira o IP do servidor OSSEC e copie a chave na caixa adequada.
Verifique e Confirme as informações da chave importada.
Acesse na barra de ferramentas “”View” e a opção “View Config”


Modifique a tag conforme abaixo:



<active-response>
<disabled>yes<disabled>
</active-response>

Postagens mais visitadas deste blog

MySQL Cluster

Por
Imagem
Antes de iniciar este post gostaria de informar que a tarefa aqui é apenas levantar o ambiente da imagem1. Não vou entrar nos detalhes sobre funcionalidades de cada serviço, deixarei este assunto para um próximo post. Instalei os pacotes MySQL-Cluster-client-gpl-7.3.2.1.rhel5.x86_64.rpm e MySQL-Cluster-embedded-gpl-7.3.2.1.rhel5.x86_64.rpm em todos os servidores. A diferença está apenas na função que cada um vai assumir para o cluster funcionar. No servidor de gerenciamento, configurei apenas o serviço ndb_mgmd . Em alguns rápidos testes, percebi que o cluster não funciona caso ele não esteja rodando! O seu principal arquivo de configuração é o config.ini que no caso do CentOS 5.7 64bits está localizado em /usr/mysql-cluster/config.ini . A imagem abaixo descreve como configurei. Depois de configurado, vamos iniciá-lo, para isso digite: ndb_mgm no terminal. O ndb_mgm informa quantos servidores estão conectados, assim como também a versão do mysql utilizada em
Continue...

Python + Fluentd

Por
Imagem
Da ultima vez escrevi sobre fluentd tive foco em ler o syslog do linux, interagi também com elasticsearch e kibana. Pois bem, dessa vez vou caminhar um pouco para um outro lado. Imagine você que existem aplicações em python na mesma instancia que monitoramos o syslog no post anterior. Qualquer semelhança é mera coincidência ;). Será que dá para ler também os logs dessa aplicação com fluentd?! Caso a aplicação em python seja o foco da maquina, então melhor ainda, pois vai ser possível obter dados de forma rápida de quantas vezes aconteceu algum determinado evento. Isso sem falar do indicativo em tempo real, em formato de histogram que é possível configurar no kibana. Estendendo ainda mais o assunto fluentd, afirmo que é possível fazer essa interação acontecer de uma forma muito fácil. Encontrei duas soluções para essa questão. Vou admitir que você já tem todo ambiente do fluentd com elasticsearch e kibana funcionando, caso não tenha leia isso antes . Primeira solução - Fazer c
Continue...

MariaDB Galera Cluster c/ HAProxy e Pacemaker

Por
Imagem
Uma vez iniciei uma pesquisa sobre MariaDB Galera cluster, ideia por trás dessa missão era substituir banco de dados MySQL que tinham seus dados replicados através de DRBD. Após reunir muito material sobre o assunto, criei um checklist com um passo a passo detalhado de como implementar. MariaDB Galera cluster nada mais é do que um conjunto de bancos de dados MariaDB funcionando em modo ativo-ativo, ou seja, você pode acessar e até gravar em sua base de dados de qualquer um deles, simultaneamente se for preciso. Está disponível em Linux e suporta apenas os mecanismos de armazenamento XtraDB / InnoDB (existe suporte experimental para MyISAM). MariaDB é construído por alguns dos autores originais do MySQL, com a ajuda da grande comunidade de desenvolvedores de software livre. É mantido atualizado com a última versão do MySQL, pelo que entendi, vai funcionar exatamente como MySQL. Todos os comandos, interfaces, bibliotecas e APIs que existem no MySQL também existem no MariaDB. Li
Continue...